1、信息系統(tǒng)滲透測(cè)試服務(wù)方案1信息系統(tǒng)滲透測(cè)試服務(wù)方案通過(guò)模擬黑客對(duì)目標(biāo)系統(tǒng)進(jìn)行滲透測(cè)試，發(fā)現(xiàn)分析并驗(yàn)證其 存在的主機(jī)安全漏洞、敏感信息泄露、SQL注入漏洞、跨站腳本 漏洞及弱口令等安全隱患，評(píng)估系統(tǒng)抗攻擊能力，提出安全加固 建議。信息系統(tǒng)滲透測(cè)試類(lèi)型：第一類(lèi)型：互聯(lián)網(wǎng)滲透測(cè)試，是通過(guò)互聯(lián)網(wǎng)發(fā)起遠(yuǎn)程攻擊， 比其他類(lèi)型的滲透測(cè)試更能說(shuō)明漏洞的嚴(yán)重性；第二類(lèi)型：合作伙伴網(wǎng)絡(luò)滲透測(cè)試，通過(guò)接入第三方網(wǎng)絡(luò)發(fā) 起遠(yuǎn)程攻擊；第三類(lèi)型：內(nèi)網(wǎng)滲透測(cè)試，通過(guò)接入內(nèi)部網(wǎng)絡(luò)發(fā)起內(nèi)部攻擊。信息系統(tǒng)滲透測(cè)試步驟：基礎(chǔ)信息收集、主機(jī)安全分析、敏感信息分析、應(yīng)用安全分 析、弱口令分析主要檢測(cè)內(nèi)容：跨站腳本漏洞、主機(jī)遠(yuǎn)程安全、殘

2、留信息、SQL注入漏洞、 系統(tǒng)信息泄露、弱口令等信息系統(tǒng)滲透測(cè)試過(guò)程:分為委托受理、準(zhǔn)備、實(shí)施、綜合評(píng)估、結(jié)題五個(gè)階段，參 見(jiàn)下圖。委托受理階段：售前與委托單位就滲透測(cè)試項(xiàng)目進(jìn)行前 期溝通，簽署保密協(xié)議，接收被測(cè)單位提交的資料。前期溝 通結(jié)束后，雙方簽署，雙方簽署信息系統(tǒng)滲透測(cè)試合同。準(zhǔn)備階段：項(xiàng)目經(jīng)理組織人員依據(jù)客戶(hù)提供的文檔資料和調(diào) 查數(shù)據(jù)，編寫(xiě)制定信息系統(tǒng)滲透測(cè)試方案。項(xiàng)目經(jīng)理與客戶(hù)溝通 測(cè)試方案，確定滲透測(cè)試的具體日期、客戶(hù)方配合的人員。項(xiàng)目 經(jīng)理協(xié)助被測(cè)單位填寫(xiě)信息系統(tǒng)滲透測(cè)試用戶(hù)授權(quán)單，并通 知客戶(hù)做好測(cè)試前的準(zhǔn)備工作。如果項(xiàng)目需從被測(cè)單位的辦公局 域網(wǎng)內(nèi)進(jìn)行，測(cè)試全過(guò)程需有客戶(hù)方

3、配合人員在場(chǎng)陪同。實(shí)施階段：項(xiàng)目經(jīng)理明確項(xiàng)目組測(cè)試人員承擔(dān)的測(cè)試項(xiàng)。測(cè) 試完成后，項(xiàng)目組整理滲透測(cè)試數(shù)據(jù)，形成信息系統(tǒng)滲透測(cè)試 報(bào)告。綜合評(píng)估階段:項(xiàng)目組和客戶(hù)溝通測(cè)試結(jié)果，向客戶(hù)發(fā)送信 息系統(tǒng)滲透測(cè)試報(bào)告。必要時(shí)，可根據(jù)客戶(hù)需要召開(kāi)報(bào)告評(píng)審 會(huì)，對(duì)信息系統(tǒng)滲透測(cè)試報(bào)告進(jìn)行評(píng)審。如被測(cè)單位希望復(fù) 測(cè)，由被測(cè)單位在整改完畢后提交信息系統(tǒng)整改報(bào)告，項(xiàng)目組依 據(jù)信息系統(tǒng)滲透測(cè)試整改報(bào)告開(kāi)展復(fù)測(cè)工作。復(fù)測(cè)結(jié)束后， 項(xiàng)目組依據(jù)復(fù)測(cè)結(jié)果，出具信息系統(tǒng)滲透測(cè)試復(fù)測(cè)報(bào)告。結(jié)題階段：項(xiàng)目組將測(cè)評(píng)過(guò)程中生成的各類(lèi)文檔、過(guò)程記錄 進(jìn)行整理，并交檔案管理員歸檔保存。中心質(zhì)量專(zhuān)員請(qǐng)客戶(hù)填寫(xiě) 客戶(hù)滿(mǎn)意度調(diào)查表，收集客戶(hù)反

4、饋意見(jiàn)。1）測(cè)評(píng)流程:信息系統(tǒng)運(yùn)行安全應(yīng)急預(yù)案1保健院信息系統(tǒng)運(yùn)行安全應(yīng)急預(yù)案為了保護(hù)醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，促進(jìn)醫(yī)院計(jì)算機(jī)的應(yīng)用 和發(fā)展，保障系統(tǒng)的順利運(yùn)行，特制定本預(yù)案。一、信息系統(tǒng)保護(hù)的重要性1、本預(yù)案所稱(chēng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，是指在醫(yī)院信息系統(tǒng)中， 由計(jì)算機(jī)及其配套的設(shè)備、設(shè)施構(gòu)成，按照系統(tǒng)的應(yīng)用目標(biāo)和規(guī) 則對(duì)數(shù)據(jù)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī) 系統(tǒng)。2、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)，是保障計(jì)算機(jī)及配套的設(shè) 備、設(shè)施的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障醫(yī)院 信息管理系統(tǒng)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn) 行。4、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)，重點(diǎn)是維護(hù)網(wǎng)絡(luò)系統(tǒng)中數(shù)

5、 據(jù)信息和網(wǎng)絡(luò)上一切設(shè)備的安全。5、醫(yī)院內(nèi)全部上網(wǎng)運(yùn)行的計(jì)算機(jī)的安全保護(hù)都適用本規(guī)則， 醫(yī)院信息系統(tǒng)建設(shè)與應(yīng)用。6、財(cái)務(wù)部網(wǎng)絡(luò)技術(shù)組主管全院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù) 工作。7、任何單位或者個(gè)人不得利用上網(wǎng)計(jì)算機(jī)從事危害醫(yī)院利 益的活動(dòng)，不得危害計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。二、安全保護(hù)制度1、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)遵守上級(jí)主管機(jī)關(guān)辦 法的行政法規(guī)，用戶(hù)手冊(cè)和其他有關(guān)規(guī)定。2、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)行安全等級(jí)保護(hù)和用戶(hù)使用權(quán)限劃分。 安全等級(jí)和用戶(hù)使用權(quán)限以及用戶(hù)口令密碼的劃分和設(shè)置由計(jì) 算機(jī)中心負(fù)責(zé)制定和實(shí)施。3、計(jì)算機(jī)中心機(jī)房應(yīng)符合國(guó)家標(biāo)準(zhǔn)和國(guó)家規(guī)定。4、在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)施附近進(jìn)行營(yíng)房維修、改造

6、及其他 活動(dòng)，不得危害計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。如無(wú)法避免而影響計(jì)算 機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)施安全的作業(yè)，須事先通知計(jì)算機(jī)中心，經(jīng)中心負(fù) 責(zé)人同意并采取保護(hù)措施后，方可實(shí)施作業(yè)。5、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的使用單位和個(gè)人都必須遵守計(jì)算機(jī)安 全使用規(guī)則，以及有關(guān)的操作規(guī)程和規(guī)章制度。6、對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中發(fā)生的問(wèn)題，有關(guān)使用單位負(fù)責(zé)人 應(yīng)當(dāng)立即向計(jì)算機(jī)工程技術(shù)人員報(bào)告。7、對(duì)計(jì)算機(jī)病毒和危害網(wǎng)絡(luò)系統(tǒng)安全的其他有害數(shù)據(jù)信息 的防治工作，由計(jì)算機(jī)中心負(fù)責(zé)處理。8、對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)軟件、設(shè)備、設(shè)施的安裝、調(diào)試、故 障排除等各項(xiàng)操作由計(jì)算機(jī)工程技術(shù)人員負(fù)責(zé)。其他任何單位或 個(gè)人不得自行拆卸、安裝任何軟、硬件設(shè)施。9、所有上網(wǎng)

7、計(jì)算機(jī)絕對(duì)禁止進(jìn)行國(guó)際聯(lián)網(wǎng)或與院外其他公 共網(wǎng)絡(luò)聯(lián)接。三、安全監(jiān)督計(jì)算機(jī)中心對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保護(hù)工作行使下列監(jiān)督 職權(quán)。1、監(jiān)督、檢查、指導(dǎo)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全維護(hù)工作。2、查處危害計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的違章行為。3、履行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全工作的其他監(jiān)督職責(zé)。4、技術(shù)人員發(fā)現(xiàn)影響計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的隱患時(shí)，可立 即采取各種有效措施予以制止。5、計(jì)算機(jī)工程技術(shù)人員在緊急情況下，可以就設(shè)計(jì)計(jì)算機(jī) 網(wǎng)絡(luò)安全的特定事項(xiàng)采取特殊措施進(jìn)行防范。四、實(shí)施情況1、制度建立后印發(fā)各使用科室，要求各科認(rèn)真組織學(xué)習(xí)， 做到操作人員必須掌握。2、財(cái)務(wù)部計(jì)算機(jī)網(wǎng)絡(luò)中心組織全院操作人員進(jìn)行培訓(xùn)，內(nèi) 容為信息質(zhì)量與安全教育。五、信息管理意外事件處理（一）、應(yīng)急預(yù)案1、堅(jiān)持信息化領(lǐng)導(dǎo)小組，明確職責(zé)權(quán)利；2、發(fā)生意外事件后各科室在5分鐘內(nèi)將信息反饋財(cái)務(wù)部計(jì) 算機(jī)網(wǎng)絡(luò)中心；3、快速向科主任及主管領(lǐng)導(dǎo)匯報(bào)，并啟動(dòng)應(yīng)急方案；4、一旦發(fā)生無(wú)法挽回的事件后，應(yīng)立即轉(zhuǎn)入手工狀態(tài)；5、當(dāng)故障解決后，在48小時(shí)之內(nèi)將手工數(shù)據(jù)全部補(bǔ)錄到 HIS系統(tǒng)中；6、解決流程：故障部門(mén)5分鐘上報(bào)計(jì)算機(jī)網(wǎng)絡(luò)中心10分鐘到現(xiàn)場(chǎng)事故處 理結(jié)果（重大事故報(bào)）手工模式（無(wú)法解決故障）醫(yī)院領(lǐng)導(dǎo)恢復(fù) 數(shù)據(jù)，由計(jì)算機(jī)網(wǎng)絡(luò)中心組織搶修。7、應(yīng)急事件處理領(lǐng)導(dǎo)小組